Akamai 安全情報和響應團隊（SIRT）近期發布警報，著重指出 Edimax 物聯網（IoT）設備中存在嚴重的命令注入漏洞。該漏洞被編號為 CVE - 2025 - 1316，已被多個僵尸網絡頻繁利用，用于傳播臭名昭著的 Mirai 惡意軟件。Mirai 惡意軟件向來以危害物聯網設備、發動分布式拒絕服務（DDoS）攻擊而聞名。

漏洞概述

CVE - 2025 - 1316 漏洞主要針對 Edimax 設備中的 /camera - cgi/admin/param.cgi 端點，攻擊者能夠借此將命令注入到 ipcamSource 參數內的 NTP_serverName 選項中。成功利用該漏洞需要使用默認憑據，例如 admin:1234。雖然 CVE 特別提及 Edimax 的 IC - 7100 網絡攝像頭，但實際上該漏洞可能影響范圍更廣的 Edimax 設備。

Akamai SIRT 早在 2024 年 10 月初就在蜜罐中首次檢測到針對此漏洞的攻擊活動。

Mirai惡意軟件樣本主要功能

而該漏洞的概念驗證（PoC）可追溯至 2023 年 6 月。最早的漏洞利用嘗試出現在 2024 年 5 月，在 2024 年 9 月以及 2025 年 1 月至 2 月期間達到高峰。這些攻擊源于不同的僵尸網絡，其中就包括 Mirai 變種。

漏洞代碼示例

此漏洞通過注入命令，在設備上執行 shell 腳本。以下是一個請求負載示例：

上述腳本會下載并執行針對 ARM、MIPS 和 x86 等不同架構的 Mirai 惡意軟件變體。

惡意軟件執行命令

惡意軟件下載完成后，將通過以下命令執行：

類似的命令也用于 MIPS 和 ARM 等其他架構。

Mirai 僵尸網絡

目前已發現兩個不同的僵尸網絡利用此漏洞：

· 第一個僵尸網絡：該僵尸網絡利用漏洞下載并執行 curl.sh 腳本，通過 angela.spklove [.] com 和端口 3093 與命令和控制（C2）服務器進行通信。惡意軟件執行時會打印 “VagneRHere”。

· 第二個僵尸網絡：此僵尸網絡下載并運行 wget.sh 腳本，進而執行 Mirai 惡意軟件。該惡意軟件具備反調試功能，執行時會打印 “Hello, World!”。

這兩個僵尸網絡還利用了其他幾個已知漏洞，如 Docker API 漏洞以及影響 TOTOLINK 設備的 CVE - 2024 - 7214。

緩解措施和建議

為有效防范這些威脅，可采取以下措施：

· 升級設備：將過時或易受攻擊的設備更換為較新的型號。

· 更改默認憑證：務必確保所有設備都設置強大且唯一的密碼。

· 監控網絡：密切留意可疑活動，如異常的流量模式。

· 實施安全措施：利用防火墻和入侵檢測系統，阻止攻擊嘗試。

鑒于 Mirai 惡意軟件對物聯網安全的持續威脅，及時了解相關信息并主動采取防范措施，對于保護物聯網設備至關重要。

參考及來源：https://gbhackers.com/edimax-camera-rce-vulnerability/